Чеська Республіка
Filmařská 12, 152 00, Praha 5 - Barrandov,
IČO: 09214194
info@odborovysvaz.com

GDPR

Загальні Правила Захисту Даних

Загальне положення Про захист даних (GDPR), повна назва постанови (ЄС) № 2016/679 Європейського Парламенту та Ради від 27 червня 2016 року Про захист персональних даних положення Європейського Союзу Про захист фізичних осіб щодо обробки персональних даних та про вільне переміщення таких даних та скасування Директиви 95/46 / EC (Загальне положення Про захист даних) є постановою Європейського Союзу, яка спрямована на значне підвищення захисту персональних даних громадян. Він був опублікований в Офіційному журналі Європейського Союзу 27.12.2009. Квітень 2016 року.

Встановити правила захисту фізичних осіб щодо обробки їх персональних даних та правила переміщення персональних даних. Постанова захищає основні права і свободи фізичних осіб з упором на право на захист персональних даних. Вільне переміщення персональних даних в Європейському Союзі не повинно обмежуватися або заборонятися для захисту фізичних осіб щодо обробки персональних даних.

Положення застосовується до автоматизованої обробки персональних даних, а також до неавтоматизованої обробки персональних даних, що містяться в реєстрі або призначених для включення до реєстру. Положення не поширюється на обробку персональних даних, що здійснюється:

  • при здійсненні діяльності, яка не підпадає під дію законодавства Союзу;
  • держави-члени при здійсненні діяльності, що підпадає під дію розділу V глави 2 TEU;
  • фізична особа, яка здійснює виключно особисту або домашню діяльність;
  • компетентні органи з попередження, розслідування, виявлення або кримінального переслідування кримінальних злочинів або виконання кримінальних покарань, включаючи захист і запобігання загроз громадській безпеці.

Обробка персональних даних установами, органами, підрозділами та агентствами Союзу регулюється, зокрема, Постановою (ЄС) № 45/2001. Регламент (ЄС) № 45/2001 та інші правові акти Союзу, що стосуються такої обробки персональних даних, повинні бути адаптовані до принципів і правил цього Регламенту, як зазначено в статті 98. Правила не повинні завдавати шкоди застосуванню Директиви 2000/31 / ЄС.

Регламент уточнює і розширює сферу застосування та визначення персональних даних. Персональні дані-це будь-яка інформація про ідентифіковану або ідентифіковану фізичну особу. Отже, персональні дані не є, наприклад, даними про юридичну особу (про її співробітників, але вже так), даними про осіб, які померли, вони не є даними, які не ідентифікують конкретну особу (наприклад, просто загальні ім'я та прізвище), і персональні дані не включають анонімізовані дані, тобто дані, які спочатку містили можливість ідентифікації особи, але такий ідентифікатор був видалений з них. Вже директива (ні. 95/46 / EC, попередній регламент), навпаки, включав динамічні IP-адреси або інші віртуальні ідентифікатори в число персональних даних. Персональні дані можуть також включати в себе те, як адвокат діє в ході судового розгляду.

Постанова повинна бути обов'язковою в повному обсязі і безпосередньо застосовним у всіх державах-членах. Facebook і Google першими зіткнулися з судовим позовом за порушення правил. Дослідження показує, що відповідні компанії продовжують обмежувати права користувачів.

Вибрані права суб'єкта даних

Серед іншого, суб'єкт даних має такі права:

  • для редагування
  • право на видалення (так зване право бути забутим)
  • щоб обмежити обробку

Окремі обов'язки контролера персональних даних 

Обов'язок адміністратора повідомляти про це наглядовому органу (Стаття 33 GDPR) 

Піклувальник має, відповідно до ст. Стаття 33 (3) 1 Зобов'язання GDPR повідомляти про будь-яке порушення безпеки персональних даних наглядовому органу (в Чеській Республіці, управління із захисту персональних даних) без невиправданої затримки і, по можливості, протягом 72 годин з моменту отримання інформації про це (якщо повідомлення не зроблено протягом 72 годин, але тільки пізніше, причини затримки повинні бути вказані одночасно.). Контролеру не потрібно робити цього тільки в тому випадку, якщо порушення навряд чи призведе до ризику для прав і свобод фізичних осіб (наприклад, суб'єкта даних). у разі використання псевдонімізації або шифрування, що в деяких випадках може повністю усунути ризик для прав і свобод фізичних осіб). 

Повідомлення про порушення безпеки персональних даних, зазначених у статті. Стаття 33 (3) 3 GDPR, принаймні, містить:

  • опис характеру випадку порушення персональних даних, включаючи, по можливості, категорії та приблизну кількість відповідних суб'єктів даних, а також категорії та приблизну кількість відповідних записів персональних даних,
  • ім'я та контактні дані співробітника із захисту даних або іншої контактної особи, яка може надати додаткову інформацію,
  • опис ймовірних наслідків порушення персональних даних,
  • опис заходів, які контролер прийняв або запропонував вжити для усунення порушення персональних даних, включаючи, при необхідності, заходи щодо пом'якшення потенційних несприятливих наслідків.

Управління із захисту персональних даних опублікувало Формуляр Архівовано 10. 7. 2020 на Wayback Machineякі адміністратори можуть використовувати при повідомленні наглядового органу про порушення персональних даних суб'єкта даних. 

Обов'язки контролера з подання звітності суб'єктам даних(стаття 12 (1)) 34 GDPR) 

У тих випадках, коли конкретний випадок порушення персональних даних може призвести до високого ризику для прав і свобод фізичних осіб, контролер відповідно до статті 10 (1) інформує суб'єкта даних про причини порушення. 34 GDPR повідомляти про це порушення без невиправданої затримки і безпосередньо суб'єктам даних. У повідомленні, направленому в DPO, контролер повинен: у статті 34(2) 2 GDPR описати характер порушення персональних даних і вказати в ньому, принаймні,:

  • ім'я та контактні дані співробітника із захисту даних або іншої контактної особи, яка може надати додаткову інформацію,
  • опис ймовірних наслідків порушення персональних даних,
  • опис заходів, які контролер прийняв або запропонував вжити для усунення порушення персональних даних, включаючи, при необхідності, заходи щодо пом'якшення потенційних несприятливих наслідків.

Вся вищевказана інформація повинна бути пояснена зрозумілим для суб'єкта даних способом (тобто з використанням зрозумілих і простих лінгвістичних засобів). Також доцільно проінструктувати суб'єктів даних про те, як вони можуть самі мінімізувати наслідки витоку персональних даних (наприклад, якщо стався витік бази даних логінів і паролів, рекомендується проінструктувати суб'єктів даних про те, що вони повинні якомога швидше змінити свій пароль). 

Адміністратор не зобов'язаний, згідно зі ст. стаття 34 (2) 3 GDPR для повідомлення суб'єктів персональних даних про порушення персональних даних, якщо виконується будь-яка з таких умов:

  • контролер прийняв відповідні технічні та організаційні запобіжні заходи, і ці заходи були застосовані до персональних даних, порушених порушенням персональних даних, зокрема до тих, які роблять такі дані незрозумілими для тих, хто не має права на доступ до них, таким як шифрування,
  • контролер вжив подальших заходів для забезпечення того, щоб високий ризик для прав і свобод суб'єктів даних більше не міг матеріалізуватися,
  • це вимагало б непропорційно великих зусиль. Однак у такому випадку суб'єкти даних повинні бути проінформовані настільки ж ефективним чином за допомогою публічного повідомлення або аналогічної заходи.
We use cookies to give you the best experience.
ukUkrainian